リスクマネジメント
ヤマハ発動機グループにおけるリスクマネジメント、クライシスマネジメントおよび事業継続についての取り組みを紹介します。
私たちは、さまざまなしくみや活動でリスク低減活動に取り組んでいます。平常時には対処すべきリスクについて担当部門を明確にして、PDCAサイクルを回すことで対策を推進しています。重大な危機が発生した場合には社長執行役員を本部長とする緊急対策本部を設け損害・影響を最小限にとどめています。
リスクマネジメント体制
ヤマハ発動機グループでは、リスクマネジメント体制として、チーフ・リスク・コンプライアンス・オフィサー(CRCO)を任命し、「リスクマネジメント規程」に基づき、CRCOが委員長となり指名する執行役員を委員とする「グローバルリスク・コンプライアンス経営委員会」において、グループ全体のリスク状況をモニタリングすると同時に、重点的に取り組む「グループ重要リスク」の選定、対策活動のチェックなどを行い、グループ全体のリスク低減を図っています。
また、その下部委員会として、CRCOが指名する主要各地域を統括するリスク・コンプライアンス・オフィサーを委員とする「グローバルリスク・コンプライアンス推進委員会」を設置するとともに、本社各リスク主管部門長等による「リスク・コンプライアンス推進会議」を設置し、リスクマネジメントについての方針や計画、モニタリングと対策などを専門視点で審議しています。そしてこれらの審議の結果は、CRCOより取締役会に適宜報告されており、実効性を担保した体制を整備しています。
なお各個別リスクの主管部門は、「グローバルリスク・コンプライアンス経営委員会」の審議の結果にもとづき、主管リスクについて対応方針、規程等を定めるとともに、本社各部門およびグループ会社に対して対応方針等に基づく対策活動の推進、活動モニタリングなどを行います。
その実効性を担保するため、統合監査部門はリスク主管部門に対して監査を実施しています。
リスクマネジメント活動サイクル
リスクマネジメント活動は、以下のPDCAサイクルを回すことで推進しています。ヤマハ発動機グループでは、必要なリスクを網羅したリスク管理台帳を作成しており、リスク管理台帳を適切に管理・運用することにより、リスク低減を図っています。
グループ重要リスク
毎年、リスクの中でも特に重点的に予防・対策に取り組むべきものをグループ重要リスクに定めています。グループ重要リスクは、グループ全体のリスク評価結果に加え、グループ事業戦略、グループ内外の法令変更、環境変化および発生事案情報などを踏まえ、総合的に判断・選定されます。
2025年度グループ重要リスク項目
| リスク項目 | 背景 | 対策 |
|---|---|---|
| サプライチェーンの途絶 | 近年の調達環境において、半導体供給不足は解消しつつあるものの、地政学リスク・自然災害等の各国特有リスクが存在し、サプライチェーン途絶リスクは増大しております。 またプラットフォーム戦略に基づき、特定の部品・取引先が各国の生産モデルに紐づいているため、平時からグローバルでレジリエンスを強化する活動がグローバルで求められております。 |
全社でBCP優先事業・優先モデルを決定し、MCはNMAX・マリンは大型船外機とJet Pumpに対象を絞ってリスク低減活動を着手しました。 地政学リスクに対しては、短期的には在庫の積み増し、中長期的には代替先の織り込みを進めます。各国特有リスクに対しては、リスクを特定した上で初動体制を構築しグローバルで監視・連携を推進します。 |
| 機密情報の漏洩 | 機密情報の漏洩に関しては、従来からリスク低減の活動を続けておりますが、当社の取り扱う機微な技術情報に関して、経済安全保障の観点から懸念が高まりつつあり、ヤマハ発動機グループ全体レベルでの活動がより一層求められているため選定しています。 | 機密情報グループ業務指針をグローバル展開し、グループ会社における機密情報管理活動を推進します。主管部門は体制を強化するとともに、国内外グループ会社の情報管理体制を確認します。また、関係部門および国内外のグループ会社と連携を図り、ヤマハ発動機グループの機微な技術情報を中心に機密情報管理状況を調査、監督の上、情報漏洩リスク低減に向けた支援を行います。 |
| サイバーセキュリティ | サイバー攻撃の高度化に伴い、従来のIT部門主導の施策に加え、工場設備や取引先などサプライチェーンへの対策や各社、各部門との協業活動が必要である。サイバー攻撃を受けた場合でも、事業継続性を考慮した対応・復旧体制の構築など、全社レベルでの活動がより求められている。 | グローバル標準のサイバーセキュリティフレームワークに準拠したサイバーセキュリティ方針に基きハード・ソフト両面で対策を行う。この対策により高度化された攻撃に対する防衛力や対応力を高めていく。万が一攻撃にあった時にも早期にこれを検出し被害を最小化する対策を織り込んでいきます。 |
| 人権侵害 | 近年紛争や貧困などが深刻化しており、人権侵害及び侵害発生機会は増加傾向である。一方当社事業は、複数業界にかかわっており関係するサプライチェーンは広く、グローバル化も拡大しリスク環境も高くなっている。 | 販売店/直材調達先への人権条項織込み/覚書取得を推進し、2027年100%を目指します。 グループ会社での人権Due Diligence活動 実績を積上げ、特にサプライチェーンの中でも直材調達先を対象に、リスク評価・SAQによる情報取得を完了、その情報もとにリスクレベルを最終化。優先取引先の現場確認を行い、取引先での人権活動の展開支援を実施、同時に2次3次取引先展開を図ります。 |
| ハラスメント | ハラスメントに対する社会的な関心の高まりや、パワハラ防⽌法の中小企業への適用拡大を背景に、当社グループにおいてもハラスメントリスク低減活動を強化する必要があることから選定しています。 | ハラスメントを未然防⽌するための啓発、事案発⽣時の迅速・適切な対応、再発防⽌について新たな試みも加えながら、継続的に取り組みます。 また、対象部門全体に共通認識を持たせつつ、役割に応じた層別にもアプローチする独自研修の国内展開を進めるとともに、グループ会社のハラスメントリスク低減活動のサポートも継続していきます。 |
| 設備機械等による業務中の 死亡・重傷事案 |
ヤマハ発動機にて2023年上期に設備機械による重大な労働災害事故が発生しました。事業活動を行う上で、当社グループでは数多くの設備機械が使用されています。このような重大な労働災害を二度と発生させることがないよう、グループをあげて労働安全衛生のレベルを高める必要があることから選定しています。 | グループ全体に安全最優先の文化を醸成し、労働災害ゼロに向けた取り組みを継続的に推進するため、2024年はグループ方針・目標の策定、ガバナンス体制の整備等を行いました。 2025年より製造拠点を中心に、労働安全衛生マネジメントシステム(ISO45001)の整備・運用により、リスクの除去・低減に徹底して取り組み、労働災害発生のリスクを最小化します。 また、全グループ会社の労働災害発生状況の把握・分析を通じ、ガバナンスおよび再発防止の取り組みを強化します。 |
| 製品品質に関する法令違反 | 製品品質に関する法令遵守は、お客様、地域社会の信頼に直結しており、厳格な管理がますます要請されています。また、世の中のCASE関連製品・サービスの普及・多様化や、循環型社会実現に合わせた新たな法規の制定と各国への拡大が予想されています。その変化に遅れることなく、全社で確実に対応することが必要であることから選定しています。 | 製品品質に関する法規対応が確実に取られるよう、法規情報の収集と展開、法規要件の織込み確認、等の活動に取組みます。また、新規事業に対して戦略的な法規活動を⾏います。 同時に、ISO9001に準拠したヤマハ発動機グループ品質保証規程の展開と併せ、2022年に発⾜したコーポレート法規管理部門を全社活動のハブとして、各事業の法規管理プロセスの基盤強化を⾏います。 |
クライシスマネジメントの体制と活動
ヤマハ発動機グループは、「緊急時初動対応規程」に基づき、事案発生時にその被害の最小化と早期収束を図っています。
グループで災害、事故またはコンプライアンス事案などが発生した場合、当該部門はあらかじめ定められたレベル判断基準に従って、ヤマハ発動機のリスクマネジメント統括部門またはリスク主管部門への報告を行います。報告された事案がグループ経営にかかわる、または複数の部門・会社がかかわるような重大な内容であった場合は、リスクマネジメント統括部門は、あらかじめ定められた対応チームを招集し、社長を長とする緊急対策本部等を設置し、事案に係る状況の把握、暫定対応を図ると同時に、必要に応じてお客さまおよび関係機関への報告を速やかに行います。
BCP(事業継続計画)の策定
想定されるリスクの中でも特に事業継続に影響を与えることが予想されるものへの備えとして、当社は「事業継続規程」を定め、対応に取り組んでいます。
当社はその主要拠点が静岡県に集中しており、南海トラフ巨大地震の影響が想定されます。
この備えとして、行政機関による被害想定を基に建物・設備などの耐震対策、津波への対応、水・食糧などの備蓄、緊急通信手段の整備、近隣グループ会社を含む全社一斉の避難訓練(一部の部門は夜間訓練を含む)の定期実施、安否確認訓練の定期実施、事業所別の初動対応訓練の実施といった防災・減災への取り組みを行っていますが、それに加え、従業員の生命・安全を最優先としつつも事業継続を確実にする目的で、BCPを作成しています。
当社の優先事業を選定し、復旧に向けたボトルネックの洗い出しとその対策、復旧対応手順の明確化と対応要員の事前選定、サプライチェーンの情報収集体制の構築など、ハード・ソフト両面に係る対策を網羅的、継続的に実施しています。
また、パンデミックに対しても、グループ各社が感染防止対策や事業継続上の課題を洗い出し、対応する計画を策定しています。
新型コロナウイルス感染症に対しても、「事業継続要領(新型インフルエンザ編)」に沿って対応し、社長が本部長を務める新型肺炎対策本部を設置し、情報の収集や対応方針の決定、情報発信を実施しました。また、将来的に発生しうる新たな感染症に備え、新型コロナウイルス感染症対策で得られた知識や経験を活かし継続的な取り組みを進めています。
サイバーセキュリティの取り組み
ヤマハ発動機グループでは、お客さまにご利用いただく製品やサービスおよび個人情報や機密情報など、情報資産の保護を目的とした「サイバーセキュリティ方針」を定めて対策に取り組んでいます。
具体的には、マルウェアや脆弱性への対応などの基礎的な対策に加えて、SOC(Security Operation Center)による監視や、CSIRT(Computer Security Incident Response Team)による対処態勢を整えて不測の事態に備えています。また、教育による社員のサイバーセキュリティ・リテラシー向上や、アセスメントによるグループ各社の状況把握と改善計画の策定等、継続的にサイバーリスクの低減に努めています。
なお、製品のセキュリティについては日米のAuto-ISAC*に加盟し、サプライチェーンを含め発生した事案や最新のセキュリティ情報の収集を把握することで自社のPSIRT(Product Security Incident Response Team)による対応に活かしています。
2023年度は、フィリピンにおける二輪車製造・販売子会社において不正アクセスおよびランサムウエア攻撃と情報流出を確認しています。2023年11月時点で影響は子会社が管理する一部のサーバーでとどまり、本社を含めたグループへの影響はないことを確認しています。
*Auto-ISAC(Automotive Information Sharing & Analysis Center) 自動車情報共有・分析センター
情報管理の取り組み
ヤマハ発動機グループでは2013年にグループ業務指針を制定し、機密管理・文書管理・個人情報保護・開示情報管理など情報管理全般におけるグループ全体の方針を決定し、活動を進めてきました。情報通信技術の発達やビッグデータの利活用の拡大に伴い、2018年の欧州の個人情報保護法施行をきっかけに、各国で個人情報保護に関する厳格な法令が制定されつつあることから、2020年に情報管理グループ業務指針を改定し、個人情報保護体制の整備や、個人情報の取扱い(取得における通知・同意の取得、安全管理措置、本人の権利に関する請求への対応、漏えい時の対応など)に関するルールを定め、各国グループ会社とヤマハ発動機が協力してグローバルに対応を進めています。
また、同年「ヤマハ発動機グループプライバシーポリシー」を改定し、各国における個人情報保護に関する法令遵守を掲げています。 その他、個人情報保護を含む情報管理全般に関して、毎年グループ内における取扱い状況のモニタリングおよびそれに基づく助言を実施するとともに、集団研修やe-ラーニングなどの教育・啓発活動を行うことを通じて、情報の適切な取扱いを徹底しています。
個人情報に関する漏洩(恐れを含む)を認識した場合、迅速に必要な調査を実施し、適用される法令等に基づき監督機関への報告および本人への通知等の必要な措置を取るとともに、関連規程に基づき懲戒処分その他の厳正な措置を講じます。
なお、2023年度は、個人情報保護に関連した重大な法令違反や罰金・課徴金等はありませんでした。
